El hackeo a la Sedena se pudo haber evitado: ya existía un parche que solucionaba la vulnerabilidad explotada.
A más de 10 días de que se hiciera pública la información que el grupo hacktivista Guacamaya obtuvo de manera ilegal de la Secretaría de Defensa Nacional (Sedena), aún hay muchas interrogantes al respecto.
Las preguntas surgen a raíz del hermetismo que la Sedena ha guardado sobre cómo alguien obtuvo seis terabytes de información de sus servidores.
Pues a pesar de que el grupo Guacamaya ha descrito algunos detalles del ciberataque, la Sedena no ha emitido ningún comunicado al respecto.
Alberto García Caraveo, especialista en estrategias de seguridad y tecnologías de la información, explica los detalles acerca de cómo hackearon los documentos de la Sedena.
Hipótesis del hackeo
“Sedena dejó amablemente su servidor Zimbra sin actualizar desde que fue publicada una vulnerabilidad en abril, hasta agosto que fue cuando nos filtramos nosotras”, mencionan el grupo Guacamaya en una supuesta entrevista con el medio La Lista, publicada el 10 de octubre.
En efecto, a finales de abril de este año, CVE.report (base de datos de vulnerabilidades y exposiciones en sistemas operativos, aplicaciones, hardware, redes, navegadores y clientes de correo electrónico) alertaba acerca de múltiples vulnerabilidades en el servicio de correo electrónico de Zimbra Collaboration.
Una vulnerabilidad es una debilidad existente en un sistema, la cual puede ser utilizada para comprometer la seguridad de ese sistema.
En general, las organizaciones tienen muchos servicios expuestos a vulnerabilidades. Por ejemplo, en sus páginas web, servicios de correos electrónicos, con la finalidad de que sus empleados puedan acceder a estos recursos cuando estén fuera de la organización.
Sin embargo, es responsabilidad de los servidores desarrollar parches o soluciones que permitan mantener seguros estos servicios, menciona García Caraveo, quien también es fundador de la firma de ciberseguridad TBSEK, en entrevista con Serendipia.
Los parches de seguridad son especialmente frecuentes en servicios (aplicaciones, servidores de correo electrónico, etc.) que interactúan con internet, y su función es la de solucionar “agujeros” de seguridad sin modificar la funcionalidad del programa).
Sin embargo, para la vulnerabilidad identificada como CVE-2022-27925, Zimbra Collaboration ya había anunciado un “parche desde agosto de este año para solucionar los errores del servidor, mismo que la Sedena nunca identificó ni actualizó.
¿Cómo hackearon documentos de la Sedena?
Como primer paso, los atacantes habrían identificado que la Sedena tenía expuesto el servicio de correo electrónico, específicamente el servidor Zimbra, dice García Caraveo.
“Muchos de los grupos de hackers tienen fondos de inversión que están enfocados en identificar vulnerabilidades que los fabricantes todavía no saben que existen y, por otra parte, desarrollar el mecanismo de explotación de esta vulnerabilidad. Es decir, no es suficiente identificar una vulnerabilidad o que ésta exista, sino saber cómo aprovecharla”, de acuerdo con el especialista.
En el caso de la Sedena se tenían las dos: la vulnerabilidad en el servicio de correo electrónico y el mecanismo de explotación, que en el ámbito de la informática se les llama “exploits”.
Una vez que se ejecuta de manera remota el código, los atacantes pueden explotar otras aplicaciones que el propio servidor tenga para no ser detectado tan fácilmente, entre ellas algunas que sirvan para extraer información de ese servidor.
Así, la vulnerabilidad de Zimbra permitió a los atacantes la ejecución de un código en ese servidor de correo, mismo que autorizaba recibir un archivo comprimido (o archivo ZIP) y extraer otros archivos de él.
Entonces, explica García Caraveo, si la información extraída en su totalidad eran correos electrónicos, significa que los atacantes de la Sedena no tuvieron, prácticamente, que moverse a otra aplicación. Es decir, toda la información se obtuvo desde Zimbra.
¿Cuánto tiempo lleva realizar hackeos masivos?
El objetivo de los ataques masivos, señala Alberto García, es que la actividad anormal que se está llevando a cabo pase desapercibida.
“Hay ataques que duran meses, porque sacan la información a cuentagotas. Es muy difícil para el ojo humano identificar este tipo de hackeos. Definitivamente se necesitan soluciones tecnológicas que ayuden al monitoreo y detección”, menciona el especialista en estrategias de ciberseguridad.
Sin embargo, si estos mecanismos no existen o son deficientes, aunados a que la información es sustraída a cuentagotas, es prácticamente imposible que se identifique el hackeo en tiempo real.
Al respecto, en la supuesta entrevista con el medio La Lista, el grupo Guacamaya dijo haber realizado el hackeo entre agosto y septiembre de este año. Es decir, desde que identificó las vulnerabilidades hasta que las explotó tardó alrededor de un mes.
Además, Guacamaya mencionó que al final la Sedena apagó sus servidores de correo “cuando solo habíamos descargado como la mitad”. Pero no por darse cuenta de la descarga ilegal del grupo hacktivista, sino porque la vulnerabilidad de Zimbra fue explotada en masa por muchos otros hackers “ruidosos”.
Otras rutas del hackeo a la Sedena
El 29 de septiembre de 2022, la compañía tecnológica Microsoft publicó a través del blog del Centro de respuestas de seguridad que tenía identificadas dos vulnerabilidades de día cero.
En otras palabras, Microsoft se dio cuenta que había debilidades en su servicio y que algunos cibercriminales las estaban aprovechando.
Las dos vulnerabilidades que Microsoft informó que habían sido descubiertas por cibercriminales, afectaban a Microsoft Exchange Server, que es un servicio de correo electrónico en su versiones 2013, 2016 y 2019.
La primera de ellas, registrada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF). La segunda, CVE-2022-41082, permitía la ejecución remota de código cuando el atacante accedía a PowerShell.
Entonces, ya existían dos coincidencias que hacían suponer que esta era la ruta que utilizaron los hackers para sustraer información de la Sedena:
- Que Microsoft publicó en días posteriores al hackeo de la Sedena que tenía un “día cero” a través de Exchange Server.
- Los documentos extraídos del hackeo de “Guacamaya” son correos electrónicos.
Además, este no era la única vulnerabilidad que Microsoft Exchange Server ha tenido en los últimos meses, pues la compañía ha anunciado “días ceros” posterior a los ataques cibernéticos a los ejércitos de Chile y, recientemente el de Perú.
En ambos casos, atribuidos al grupo Guacamaya, la información salió a través de correos electrónicos.
Primero el Ministerio de Defensa Nacional de Chile reconoció una falla de seguridad de los correos electrónicos del Estado Mayor Conjunto; y luego, recientemente, más de 283 mil correos de alta confidencialidad del Ejército de Perú fueron publicados de manera ilegal.
Sin embargo, toda esta teoría se tambaleó luego de que el grupo Guacamaya pusiera en el mapa la hipótesis del hackeo a la Sedena a través de Zimbra.
“Todas las demás filtraciones se descargaron con Proxyshell, pero SEDENA fue con una vulnerabilidad antigua de Zimbra. Fue simplemente usar esto para explotar la vulnerabilidad y subir una webshell, y luego usar la webshell para descargar todos los correos de: /opt/zimbra/store (…) vimos que otros hackers también estuvieron descargando los correos a la vez”, menciona el grupo Guacamaya en la página Enlace Hacktivista.
Pero, otra posible ruta acerca de cómo hackearon los documentos de la Sedena, puede ser una más sencilla, explica García Caraveo.
“Desde hace un par de años, los cibercriminales suelen reclutar a personas de las propias organizaciones para que les entreguen acceso a los sistemas. Muchas veces son los propios empleados quienes venden los accesos. En esos casos el atacante ni siquiera se desgasta en encontrar una vulnerabilidad y explotarla”, dice el especialista.
El medio La Lista le preguntó al grupo hacktivista si había tenido ayuda dentro de la Sedena, pero no obtuvo respuesta.
México, en serios problemas de ciberseguridad
Al respecto de las medidas que la Sedena podría emplear a raíz del hackeo de documentos por parte de Guacamaya, la titular del Instituto Nacional de Acceso a la Información (INAI), Josefa Román Vergara, instó en días recientes a hacer acciones de seguridad para evitar futuros ataques cibernéticos o hackeo de los servidores.
“Hay muchas acciones preventivas que se deben tomar por todos los sujetos obligados del país, desde municipios o poderes estatales, la invitación es que hagan evaluación de impactos en todas las instituciones públicas y con particulares, que nos den la oportunidad de identificar riesgos”, mencionó Román Vergara.
De acuerdo con Forbes, en el primer semestre del 2021 se registraron más de 91 mil millones de intentos de ciberataques en Latinoamérica, tanto en empresas privadas como del sector público. Del total de estos ataques, más de 60 mil millones ocurrieron en México. Lo anterior ubica al país como el más propenso en la región frente a este tipo de amenazas.
García Caraveo menciona que como parte de una estrategia de ciberseguridad, al menos son tres pasos los que podrían ayudar a evitar ataques cibernéticos:
- Identificar que está ocurriendo un ataque es el primer paso, ya que esto permite planear cómo actuar al respecto. Esto se logra, sobre todo con el recurso técnico como softwares antivirus, Firewall perimetral de red, Servidores proxy, cifrado de punto final o end point disk encryption y un escáner de vulnerabilidades.
- Pero si ya identificaste el ataque y no sabes cómo actuar, de nada sirve el primer paso. Por ello deberá ser importante el diseño de un protocolo interno de gestión del incidente en el que se identifique a las personas con capacidad de decisión, que puedan gestionar y coordinar la situación con calma y evitar consecuencias adicionales negativas. En este paso también se deberán mantener los equipos actualizados, incluyendo el software y los antivirus, así como llevar a cabo copias de seguridad con frecuencia para comprobar que todo está correctamente almacenado y, en caso de un ataque, poder recuperarlo.
- Ninguna tecnología es infalible, por ello es importante que las empresas públicas o privadas capaciten constantemente al personal responsable en materia de ciberseguridad, pues los ataques informáticos evolucionan constantemente.
Comentarios